瑞星卡卡安全论坛

1、附件是我RENG扫描日志。
2、此毒会不会破坏我硬盘所有的EXE文件？
3、如何彻底清除？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

C:\WINDOWS\system32\COMRes.dll被修改，建议从其他同版本操作系统中复制此文件，将其覆盖到本机。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\drivers\Knlrun.sys
C:\WINDOWS\system32\COMRes.dll
[C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf]  [N/A, ]
    [C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf]  [N/A, ]
    [C:\WINDOWS\Tasks\ybmux4Mu6FUnQJEHWu.inf]  [N/A, ]
    [C:\WINDOWS\system32\3a5XTcKYzK7KZcrfRE.inf]  [N/A, ]
  [C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur]  [N/A, ]
    [C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf]  [N/A, ]
    [C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll]  [N/A, ]
    [C:\WINDOWS\Downloaded Program Files\6YYnDBbzHzrrmenHmv.cur]  [N/A, ]
    [C:\WINDOWS\system32\122B901E.dll]  [N/A, ]
    [C:\WINDOWS\system32\SCEVFJRCmaB7.dll]  [N/A, ]
    [C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf]

上传病毒样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为：http://mailcenter.rising.com.cn/uploadnew.aspx

那些贴我都看了，并且下载了那工具包，木马群工具包的工具不管用，删除了还有，卸载进程了还出现，请2楼高手帮帮我如何清理，难道没人遇到过吗？
瑞星无效，自动退出。
还有，我整盘的EXE是不是都作废了？？？？


上传样本估计我做不了了，太多了。。。。。不知道找哪个好。电脑速度很慢，上网慢，打开窗口等很久。

下载附件解压后，运行logaction，点击开始处理，处理完毕后根据提示重启电脑。

使用windows清理助手：http://download.arswp.com/arswp3/x86/arswp3_x86.exe清理

附件: LogAction.rar

可能我描述的不够详细，我再说说：
1、进程不断出现23451.exe 类似的病毒，五位数字，随机出现。用工具包的工具看过了，地址的都是再TEMP文件夹内。
2、调用的DLL, INF文件，都是再SYSTEM32下和Tasks\ 下。
3、我安装的有杀毒软件和shadow defender 影子防护，但是似乎都被穿透了。
4、拔掉网线，什么事情都没有，插上就出现数字进程。
5、通过工具包的工具查看一下运行的其它进程，里面都加载了异常的DLL和INF文件了。‘
6、盘内盘下没有UPS.DLL之类的文件，也没有AUTORUN.INF之类的隐藏文件，一切看上去都很正常。只是系统文件夹内多了很多异常文件DLL,INF。

谢谢斑竹，等下班了我试试，再给你们汇报结果！

文件名:LogAction.rar
下载次数:1
文件类型:application/octet-stream
文件大小: 192.09 K
上传时间:2009-9-17 10:29:50
描述:rar


版主，你这个文件有问题！
我刚才XP下运行就重启！连续两次都这样，正常无毒的也重启
电脑忽然就重启了。这文件是不是有病毒？

解压后，运行logaction，点击开始处理， 处理完毕后会有提示是否重启，点击是会立即重启电脑的。

没有，根本没界面，点击后马上黑屏，重启。

点击根本没有出现任何界面，马上就黑屏了。然后电脑“滴。。。”重启声音了。

lz短消息你了。

我已经回复消息啦，请加我。

谢谢大家！
软件黑屏，已经找到原因，是因为同时装了卡巴斯基。
我晚上下班试验试验，然后给大家汇报结果。

6位随机数字进程病毒！6位随机数字进程病毒！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

附件: 瑞星听诊信息.log

((本附件程序仅适合这位求助者使用，因为涉及系统重要文件的替换，所以任何其他求助者绝对不能随意使用这个附件程序。))
下载附件，解压至桌面，启动里面的程序后，点击“开始处理”，程序提示重启电脑时，立即重启。
（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

附件: 新助手.rar (2009-9-18 8:33:25, 643.31 K)
该附件被下载次数 200

下载W i n d o w s 清理助手 ，升级清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

杀毒软件升级至最新版本全盘杀。反复查杀无毒后即可。

记得打全系统漏洞补丁

记住不要让任何安全软件影响本程序的运行。

昨晚经过networkedition版主的连夜奋战，病毒已经杀灭的差不多了。不过残存的还有，正紧张查杀中，我会继续汇报结果。在这里，向networkedition版主敬礼！真是少有的专业，乐于助人的好版主！！

另外请教版主一个问题的，我身边的同事的电脑，中的毒都不同，相同的地方，都是数字病毒，进程出现的数字位数不同。例如我的是5位，有的同事的是6位，有的是7位……
症状也不同，进安全模式360超强木马查杀无效，查不出来，瑞星也解决不了。也没有访问不良的网站和不可靠的网站，最近也没有插U盘，但是就是中毒了，很蹊跷。

访问任何一个你认为的绝对可靠的网页，都可能中毒

目前网络中没有可靠的网页

至于怎么中毒，大致这些过程：

1、使用移动存储设备互相传染

2、是开网页中毒

3、是一台机中毒，影响局域网内所有电脑

谢谢 天月来了 版主，不过我还是奇怪，这样的数字进程的病毒很流行，但是到底叫什么名字呢？木马群？FLASH木马群？
没有一个官方的名号和专杀工具吗？

大家的数字进程位数也不同，有的不停的变化，今天是1位，明天就是7位。。。

木马群病毒而已

数字不同，可能是系统不同而已

那都是病毒程序随机名创建的

不能表示巨大的什么差别